问名词:PG/过PG/KPP/DSE/过DSE/内核越狱/免签加载驱动/API(MSG)HOOK
本帖最后由 testid 于 2015-3-26 16:58 编辑这些词语究竟是什么意思?他们之间有什么区别和联系?
虽然我大概知道,但还是比较迷糊,望给个详细解释。
还没人回复,补充一下,我最后不是问API HOOK或MSG HOOK是什么意思,而是这两种HOOK什么时候可以用,什么时候不能用,跟之前那一堆名词又有什么关系。 这个问题算是很经典的初学者问题了。。。为了以后省点口舌,这里仔细回复一下。
KPP:内核补丁保护,详见http://en.wikipedia.org/wiki/Kernel_Patch_Protection
PG:基本可以认为和KPP是一个意思。
过PG:让PG无法工作,或工作无效。方法基本分为两类,动态(无需重启,重启后失效)和静态(需要重启,重启后一直生效)。
DSE:数字签名强制。全名driver signature enforcement,可以简单理解为“驱动文件必须包含正确的交叉签名”。
过DSE:让DSE机制无法工作,或工作无效。方法基本分为两类,动态(无需重启,重启后失效)和静态(需要重启,重启后一直生效)。
免签加载驱动:就是加载一个无签名,或签名无效的驱动。
内核越狱:可以简单理解为{过PG+过DSE}。
关于HOOK:MESSAGE HOOK是RING3的HOOK,所有RING3的HOOK(包括RING3 IAT/EAT/INLINE HOOK)都不被PG限制。RING0里对关键模块(包括但不限于NTOSKRNL.EXE、HAL.DLL、NDIS.SYS等)以及一些关键的表(包括但不限于SSDT、IDT、PsActiveProcessLinks等)的任何修改,都不被PG所允许。 学习了 学习了 学习了,基本的专业名词
页:
[1]